Plataforma
drupal
Componente
drupal
Corrigido em
1.7.0
2.0.2
8.0.1
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no módulo Drupal Automated Logout. Essa falha permite que atacantes realizem ações não autorizadas em nome de usuários autenticados, potencialmente comprometendo a segurança do processo de logout. A vulnerabilidade afeta as versões 2.0.0 até 8.x-1.7 e a versão 2.0.0 anterior à 2.0.2. A correção foi disponibilizada na versão 2.0.2.
Um atacante pode explorar essa vulnerabilidade para forçar um usuário autenticado a realizar ações indesejadas, como deslogar-se da plataforma sem o seu conhecimento ou alterar configurações de segurança. O impacto potencial é a perda de controle sobre a conta do usuário e a possível exposição de informações sensíveis. A exploração bem-sucedida pode levar a um comprometimento da sessão do usuário, permitindo que o atacante execute ações como se fosse o usuário legítimo. Embora o módulo Automated Logout seja projetado para aumentar a segurança, essa vulnerabilidade CSRF pode minar essa proteção, tornando a plataforma mais suscetível a ataques.
A vulnerabilidade foi divulgada em 2026-03-26. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) publicamente disponível sugere que a exploração ainda não é amplamente conhecida, mas a natureza da vulnerabilidade CSRF significa que a exploração é relativamente simples de implementar.
Websites using Drupal with the Automated Logout module installed, particularly those running vulnerable versions (2.0.0–8.x-1.7). Sites with less stringent access controls to the Automated Logout configuration are at higher risk.
• drupal / module: Check Drupal module versions for Automated Logout.
drush pm-info --title --core --modules --themes --profiles | grep Automated Logout• drupal / configuration: Review Automated Logout configuration settings for unexpected changes. • generic web: Monitor access logs for suspicious requests targeting Automated Logout endpoints.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
Vetor CVSS
A mitigação primária é atualizar o módulo Drupal Automated Logout para a versão 2.0.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção CSRF adicionais, como a utilização de tokens CSRF em todos os formulários e a validação rigorosa das solicitações. Implementar políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o risco de ataques CSRF, restringindo as fontes de onde o navegador pode carregar recursos. Monitore os logs do sistema em busca de tentativas de solicitação suspeitas e configure alertas para detectar atividades anormais.
Atualize o módulo Automated Logout para a versão 1.7.0 ou superior, ou para a versão 2.0.2 ou superior, conforme apropriado para sua versão. Isso corrigirá a vulnerabilidade de Cross-Site Request Forgery (CSRF).
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) no módulo Drupal Automated Logout, permitindo que atacantes realizem ações não autorizadas em nome de usuários autenticados.
Sim, se você estiver utilizando o módulo Drupal Automated Logout nas versões 2.0.0–8.x-1.7 ou 2.0.0 anterior a 2.0.2, você está afetado.
Atualize o módulo Drupal Automated Logout para a versão 2.0.2 ou superior. Implemente medidas de proteção CSRF adicionais se a atualização imediata não for possível.
Não há informações disponíveis sobre exploração ativa no momento, mas a natureza da vulnerabilidade CSRF a torna um alvo potencial.
Consulte o site do Drupal Security Advisories para obter informações detalhadas: [https://www.drupal.org/security/advisories](https://www.drupal.org/security/advisories)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.